Безопасность сети

[Telegazik]

Описание системы: Разветвленная, быстрорастущая сеть, охватывающая 3 микрорайона, 28 домов. Колличество человек - на данный момент 50, количество растет очень быстро. Ip статические, сеть построена в большинстве своем на неуправляемых свитчах.

Вопрос: как защитится от несанкционированного подключения при переходе на динамическое распределение адресов? Со статикой прослеживается проблема (пока столкнулись один раз - хватило по уши) с вылетом сети при "играх" конечных юзеров с подменой ip адреса.

Есть вариант загнать всех людей в домен, включить пользователей в актив директори, но это упрется в нежелание всех людей "лечь" под налагаемые доменом огранчения, а именно смены определенных параметров своих компьютеров и приведение их всех под одну планку (имя компа, вход с паролем, сложности в работе при отсуствии сервера в сети и т.д.).

Не могли бы поделиться работающей схемой локальной сети? Кто из вас что использует? Как работаете с ip, какие методы авторизации и т.д. Или у вас у всех нет оконечных неуправляемых свитчей - думаю это из области фантастики. Посоветуйте промежуточный вариант, плиз.

[Kirya]

Поискать не судьба :) ?

Проблема обсуждалась кучу раз.

[Telegazik]

спасибо за ответ

мне хотелось бы получить реальные примеры

мне интересны также уже работающие схемы, применяемые в домашних локальных сетях, построенных на неуправляемых свитчах. Кто и как реализовал свою сеть? На чем строили? Есть домен или нет? Ip статика или динамические? желательно в деталях, не хочу изобретать велосипед

Я видел только разрозненную инфу по этой теме

хотелось бы собрать все в кучу

[GateKeeper]

на неуправлялках только статика + головняк с техсуппортом. иначе - один кретин способен натворить вам достаточно проблем со своим собственным дхцп и своим видением относительно области и ее параметров.

 

Ну или дхцп + тулза (думаю, таких есть несколько) для отлова с последующим опять таки ручным отстрелом.

[Telegazik]

сорри, я еще молодой и не опытный

что это дхцп?

вы предлагаете мониторить сеть круглосуточно и сливать все это в логи? И таким образом ловить недобросовестных юзеров?

С ручным отстрелом все понятно, без этого никуда сейчас :-)

Ну все же у кого-нить реализована сеть на неуправляемых свитчах? Вопрос как? Домен ставили на центральных серваках или нет? Юзеров в домен загоняли? Актив директори устанавливали?

[balamutang]

окстись, какие домены? чем меньше лезешь к юзверю, тем спокойней спишь.

[GateKeeper]

Эм... Господин Telegazik, Вы себе представляете хотя бы в 10% долю головняка, что Вы поимеете с вводом домена и поголовным загоном своей отары в него?

 

А если (кстати, слово "если" - это даже слишком) они начнут каждый день по 3-5 человек переставлять винду? Будете бегать по юзверям и прописывать всем домен!? Да и это... как Вы себе представляете процесс установки Пукой Васиным своего любимого КонтурСрайка после очередного сноса винды без полномочий администратора... Или будете всем шарить по политикам привилегии?

 

Чуть не забыл: а если попадутся (даже не "если", опять же, обязательно!!!) некие неформалы, что хотят жить под линухом/фряхой/опёнкой/и т.д., им что прикажете делать без отсутствия полной поддержки ActiveDirectory? "Отключаться и искать другого оператора"?

Edited October 2, 2006 by GateKeeper

[Telegazik]

ок, после долгих и упорных изысканий :-) пришли к следующей схеме. Попрошу скорректировать, если что не так. Данная схема сформулирована в соотвествии с нашими пожеланиями и реалиями нашей сетки.

Имеем 3 сервера. Один применяем для Active Directory, сервер не подключен к инету, где заводим всех юзеров. Active Directory синхронизирован с базой данных, где хранится вся инфа на юзера (адрес, телефон, баланс ну и все такое). На этом же серваке ставим локальную FTP, IIS, чаттер и т.д. Второй сервер устанавливаем для медленного безлимита с Exchnge+ISA. Там же сквозной нат для инета, т.е. инет есть, безлимит, но медленный (ну у нас так сложилось). Exchnge+ISA синхронизированы соотвественно по Active Directory (т.е. все три сервера входят в один домен, юзеры все входят рабочую группу). Третий сервер - быстрый спутниковый инет с проксей на Трафик инспекторе, оплата по трафику. Получаем следующее. Народ по сети ходит - нам не важно где и как. Как говорится - спасение утопающих - дело рук самих утопающих, мы их компы не трогаем. При входе на ЛЮБОЙ наш сервак - требуется ввод имени и пароля. Винда эту инфу кэширует, либо сохраняет - у кого как. Важно что логин и пароль для всего абсолюно один и тот же. И баланс везде один и тот же.

Как такая схема? Имеет право на существование? Есть ли подводные камни? Покритикуйте пжалста, мы не супер спецы, мы только учимся :-)

[Alteron]

Ты реально думаешь, что винда реально это всё СТАБИЛЬНО потянет при большом количестве юзеров?

[GateKeeper]

1. Есть: UserA, UserB, ServerA. Если UserB сумеет отловить трафик UserA<->ServerA, то вполне возможна ситуация с раскрытием пароля пользователя, который у Вас один на всё. "Ужасы нашего городка" часть 4 - "Судебное разбирательство и наказание кого попало". Кстати, винда, к примеру 98 не умела сильно шифровать передаваемые по NetBIOS пароли (на счет умела ли вообще - счас уже не помню).

 

2. Не всегда винда предлагает сохранить пароли, не всегда даже предлагает ввести имя пользователя - бывают ситуации, когда в поле "Имя пользователя" проставлено Guest/Гость, а само поле неактивно. Копаться в политиках. Пользователи этого не умеют -> запасайтесь срочно командой "мальчиков по вызову", которые будут бегать и править кривизну дефолта винды. Плюс еще многоканальный телефон и не меньшую бригаду "мальчиков у телефона" для разгребания мелких нюансов, вида "98 винда по умолчанию посылает в качестве авторизационных данных те, что были введены при запуске системы (помним, да? "Вход в сеть, имя пользователя, пароль..."). Плюс, опять же, пользователи вообще не-Windows оказываются в большом пролёте из-за недостаточной на сегодня поддержки проприетарных Windows-протоколов или опять же проприетарных модификаций стандартов.

 

Это два самых основных.

 

Это я к чему всё: НЕЛЬЗЯ! Просто ни в коем случае нельзя сводить всю систему авторизации пользователя на одной связке логин/пароль! Попадёт пароль в лапы оболтусу во время авторизации кого-либо на FTP - всё. Пиши пропало и начинай ковырять логи в поисках правды. Для разных типов ресурсов лучше вести разные пароли, если эти пароли не защищены от перехвата/взлома (а это практически никогда не возможно - залезть на дефолтно установленную винду и стырить все сохранённые пароли не так уж и сложно, чайников слишком много)... Еще сложнее объяснять пользователям, что ftp://server/ в интернет-эксплорере не работает, потому что он не поддерживает FTPS и т.д...

 

И вообще, строить сеть передачи данных в _неподконтрольной_ вам в любой ее точке среде на AD нельзя ни в коем случае. По причине проблем совместимости в первую очередь. Строить надо на чём-либо, до чего не добралась кривая лапа стандарт-разработчиков и стандарт-внедренцев микрософта. А централизовать это всё можно уже своими силами - несколько таблиц в том же mysql, плюс на коленке пишется простецкая морда за 3-5 дней и настраиваются соответствующие сервисы на авторизацию по этим таблицам.

 

Ну, конечно, Вам решать.

 

Полезно к прочтению:

http://ru.wikipedia.org/wiki/Active_Directory

http://www.microsoft.com/windowsserver2003...ry/default.mspx

 

Явно об этом там не говорится, но сквозит через все тексты, что предназначение - _корпоративная_ среда.

[Telegazik]

Насколько я понял Вы против вложения в Active Directory такого поля как БАЛАНС. В общем-то конечно я полностью с Вами согласен. Ну а насчет неприменимости одного пароля и логина, тут у нас появляется определенная проблема.

Дело в том, что сервисов накапливается куча, а вот как сделать юзеру к ним доступ как можно прозрачнее - это проблема номер один. К примеру, есть следующий перечень сервисов, как то: интернет, персональная страничка со статистикой, почта, форум, сетвой чаттер с авторизацией (корпоративный), чаттер на веб странице, интернет магазин наконец. Да мало ли, что еще завтра поставить потребуется. Уже с этим перечнем необходимо чтобы пользователь знал, а то и хранил на локальном компьютере 5-7 логинов и паролей. Это и для продвинутого пользователя сложновато, а что говорить о обычном контингенте, с которым мы работаем - они бывает сетевое подключение отрубают, чтобы "деньги не капали", работая с локальной сетью как с диалапом. Т.е проблема в том, что заведя с десяток различных учетных записей и паролей для доступа к различным услугам мы рискуем тем, что юзеры начнут хранить свои пароли не в системе WIndows, куда более-менее средний юзер не пролезет, а в текстовом файле в открытом виде. И хранить он его будет на локальном местном диске, откуда его сдернуть гораздо проще, чем выковыривать из винды. Также последствия разных учетных записей - утеря данный, "забыл", "винду переинсталил", а как следствие - шквал звонков, и звонков непрекращающихся. И чем больше паролей*колличесво юзеров, тем больше звонков. Отсюда вывод - авторизировать юзера надо как можно меньшее число раз. Лучше один раз, но с проверкой на логин, пароль, Ip, мак. Один то пароль юзеры осилят, 100%.

Винда 98 у нас уже практически нигде не используется (0 компов в сети под чем нить ниже ХР), путем определенных манипуляций, мы постепенно, шаг за шагом, доводим до юзеров информацию о полезности использования файрваллов и о практике частых смен пароля. Так что в 99% случаев от взлома "на шару" юзеры могут быть защищены.

В общем, если я Вас правильно понял, нам надо немного модернизировать предложенную систему. При входе на ЛЮБОЙ сервак проводить авторизацию ОДИН раз, но не используя Active Directory. А как тогда синхронизировать между собой все сервера? Как не используя наработок мелкомягких реализовать максимально прозрачную среду для пользователя? Чтобы авторизовался раз, ну два максимум, пройдя кучу проверок по всем возможным атрибутам своего компа, поиметь доступ к различным ресурсам. Понятно что среда не корпоративная, но вариант предложенный вам предполагает наличие еще большего гемороя для службы техподдержки, нежели использование мелкософтовских утилит и систем.

И главное - не надо мне говорить, что вот фря или сан или линух форевер, а вы вот ниче в сетях не понимаете, вот и сидите на винде. Проходили уже. Те преимущества, которые есть в линухе, сводятся на нет отсуствием элементарных вещей и необходимостью потратить ОГРОМНОЕ колличество времени на его изучение и внедрение. Время-это самое ценное, что у нас есть и тратить его на получение сомнительного результата просто глупо, когда под рукой есть нормальный инструмент для достидения поставленной цели. Работоспособный, не без глюков, зато понятный и простой в эксплуатации инструмент. И исключительно мое мнение - ну не стану я переходить на ту же фрю. Да и нет у нас в городке никого, кто бы ставил себе линухи всякие. Потому как - ну не надо это нам. Зачем изобретать велосипед, если есть мерседес? Установка на свой страх и риск системы, не зная, как она себя поведет завтра и где ковырять ее при глюке или фатальном вылете - это удел энтузиастов и студентов, но не бизнеса. Бизнесу надо достигнуть определенные задачи с минимальными затратами - в данном случае мы лучше винды пока ничего не видем.

Спасибо.

[puh]

загонять юзеров в домен - это уж никак не удел бизнеса.

[Telegazik]

Да я уже не предлагаю вогнать всех в домен. Домен только на комплекс серверов для удобства авторизации. Что совсем не жизнеспособное решение? юзеры в рабочей группе, серверы все в куче под доменом, одна центральная точка входа на всех. Очень удобно. Как у других-то? Кто как реализовал? Неужели у всех куча паролей на различные сервисы. Неужели у всех по одному серваку стоит? Не может быть. А если куча сервисов и несколько серверов - как данные синхронизируете в обход доменов? Как с безопасностью вопрос решаете? Что никто опытом не поделится?

[GateKeeper]

Я еще раз настаиваю, чтобы Вы взглянули на проблему не с точки зрения удобства пользователя, а с точки зрения безопасности. Название топика говорит об этом, да и в любом случае security у любого вменяемого администратора должна превалировать над интересами usability (за исключением случаев полного отсутствия последней).

 

В Вашем случае - security не будет ущемлена только в случае если этот самый "единый авторизационный алгоритм" не будет гонять пароли в открытом виде, а так же не будет позволять пользователю сохранять их в системе (за исключением совсем дебилов, которые создают текстовый файл и в нём сохраняют). Если же учетные данные этой системы в каком-либо из сервисов начинают гоняться открыто, либо позволяют быть сохраненными в приложениях их передающих, то, поимев один раз пароль, поимели пользователя во всём. Учитывайте этот фактор.

[balamutang]

зря вы валите все в кучу с одним паролем - и платные сервисы и бесплатные... интернет и персональная страничка отдельно, форумы и чаты отдельно.

[Чупа-Чупс]

VPN + статические айпишники в виртуальной сети %)

[KD]

VPN + статические айпишники в виртуальной сети %)

именно так + ...

- все сервисы (за исключением веб-морды) вынести за пределы vpn концентратора

- на ftp, чат и проч. разрешить анонимный вход и проверять валидность по ип

- на почту, личный кабинет и проч - отдельные пароли с возможностью смены их пользователем, если его ломает запоминать пароли - пусть меняет, сам себе злобный буратино.

самое главное: забыть про AD, и, желательно, мелкомягкую.